Banking-Trojaner "Gauss" vermutlich mit staatlichem Auftrag
Im nahen Osten war bis vor kurzem ein Banking-Trojaner aktiv, der Code mit dem staatsfinanzierten Flame-Trojaner teilt. "Gauss" griff unter anderem auch gezielt Banking-Zugangsdaten ab.
- Gerald Himmelein
Im Rahmen seiner Untersuchungen zum 20-MByte-Trojaner "Flame" sind die Sicherheitsforscher von Kaspersky Lab auf einen wesentlich weiter verbreiteten Cousin gestoßen: "Gauss". Der Trojaner soll im Libanon sowie in Israel und Palästina vermutlich Zehntausende Rechner infiziert haben.
Zu seinen Schadfunktionen gehört der Diebstahl von Internet-Kennwörtern, Zugängen zu Online-Konten, persönlichen Cookies, dem Browser-Verlauf und anderen individuellen Systemeinstellungen. Zudem installierte die Malware einen eigenen Font namens "Palida Narrow" – mit bislang unbekanntem Zweck. Der Name "Gauss" stammt aus dem Hauptmodul des Schädlings; auch andere Module sind nach berühmten Mathematikern benannt.
Über welche Sicherheitslücke Gauss sich Zugang zu den Zielsystemen verschaffte, ist noch unklar. Klar ist hingegen bereits, dass Gauss sich über USB-Sticks weiter verbreitete. Dabei nutzte der Trojaner dieselbe Sicherheitslücke bei der Behandlung von .LNK-Dateien wie zuvor Flame und Stuxnet. Gauss legte die erspähten Informationen in einer versteckten Datei auf dem Stick ab.
Dem Riesentrojaner Flame ähnelt Gauss sowohl im Aufbau als auch in der Struktur der Module, der Code-Basis sowie in der Art, wie der Trojaner Kontakt zu den Fernsteuerungs-Servern aufnahm. Dies legt einen gemeinsamen Urheber nahe – Flame und Stuxnet werden den Geheimdiensten von Israel und den USA zugeschrieben.
Vor diesem Hintergrund erscheint es besonders ungewöhnlich, dass die Spionagefunktionen von Gauss auch den Online-Zugriff auf Bankkonten umfassten. Kaspersky zufolge suchte der Trojaner konkret nach Kundendaten für die Bank of Beirut, Banque Libano-Française (EBLF), Blom Bank, Byblos Bank, Credit Libanais und Fransabank. Der Trojaner soll auch Zugriffe auf Konten bei Citibank und PayPal abgehört haben.
Gauss wurde von Kaspersky erstmals im September 2011 gesichtet und im Juni 2012 als Trojan-Spy.Win32.Gauss identifiziert. Dies blieb den Urhebern des Trojaners nicht lange verborgen: Im Juli wurden die Steuerungs-Server deaktiviert; bei infizierten Systemen befindet sich der Trojaner seitdem in einem Schlafmodus. Kasperskys Sicherheitsnetzwerk zählte seit Mai 2012 etwa 2500 Infektionen – dies sind allerdings nur Funde auf Rechnern mit installierten Kaspersky-Produkten. Bei Flame hatte Kaspersky nur 700 Infektionen gezählt.
Wie Duqu und Flame enthält auch Gauss einen Selbstzerstörungsmechanismus – nach 30 Aufrufen von einem USB-Stick aus löschte Gauss sich selbstständig, um einer Erkennung durch Virenschutzprogramme zu entgehen. (ghi)